1. Plastikkarte vs. Smartphone
Von unterwegs auf das eigene Bankkonto zugreifen, eine dringende Rechnung überweisen oder einfach nur den Kontostand im Blick behalten. Mit Banking-Apps auf dem Smartphone ist das schon seit Jahren möglich – auch sicher und datenschutzfreundlich, wie der Beitrag »Android & iOS: Sicheres Mobile-Banking am Smartphone« zeigt.
Und auch das kontakt- und bargeldlose Bezahlen mit dem Smartphone statt mit Plastikkarten gehört für manche längst zum Alltag. Das Problem: Das Einkaufsverhalten ist eine Goldgrube für Dienste, die ihr Geld mit personalisierter Werbung verdienen. Je genauer die Daten sind, desto wertvoller sind sie. Google sichert sich über Google Wallet/Pay bspw. weitreichende Möglichkeiten, Daten zu sammeln und auszuwerten. So weiß Google immer, bei welchem Händler man wann für welchen Gesamtbetrag eingekauft hat.
Im vorliegenden Beitrag zeige ich eine Möglichkeit auf, wie man sich vor der Datenschnüffelei von Google unter Android schützen kann. Statt Google Wallet/Pay kann man auch Apps von Banken nutzen. Diese geben keine Daten weiter und werten auch nicht das Kaufverhalten aus. Einziger Wermutstropfen: Das funktioniert nicht mit jeder Bank, sondern ist auf einige wie die Volks- und Raiffeisenbanken oder die Sparkasse beschränkt.
2. Mobile-Banking: Fragen und Antworten
Zunächst möchte ich auf wichtige Fragen eingehen, die sich bei der Nutzung von Online-Banking bzw. kontakt- und bargeldlosem Zahlungsverkehr stellen. Wer sich lieber direkt mit der Umsetzung beschäftigen möchte, kann direkt zu Kapitel 4 springen.
Frage [1]: Was ist sicherer: Online-Banking mit dem PC oder mit dem Smartphone?
Auf diese Frage gibt es keine eindeutige Antwort, da sie von vielen verschiedenen Faktoren beeinflusst wird. Generell gilt: Die Sicherheitsarchitektur mobiler Systeme wie Android und iOS ist herkömmlichen Desktop-Systemen überlegen, bei denen der Nutzer in der Regel die Möglichkeit hat, tief in das System einzugreifen. Nicht selten installieren (unbedarfte) Nutzer dann Schadsoftware, die die erweiterten Rechte ausnutzt. Bei Android und iOS werden Apps in einem eigenen isolierten Bereich (Sandbox) ausgeführt und sind damit (vollständig) vom System getrennt. Nur über sogenannte Berechtigungen (z.B. Kamera, Kalender etc.) ist ein eingeschränkter Zugriff auf bestimmte Informationen/Schnittstellen des Systems bzw. der Nutzerdaten möglich. Mobile Systeme weisen damit häufig ein höheres Sicherheitsniveau auf als der (heimische) PC oder Laptop.
Frage [2]: Wie kann ich das Risiko für mich und mein Endgerät möglichst minimieren?
Die wohl wichtigste Regel lautet: Sicherheitsupdates für das System bzw. die installierten Apps zeitnah einspielen. Das gelingt natürlich nur, wenn der Hersteller das Smartphone auch mit Updates versorgt. Gerade in der Android-Welt ist das oft ein Problem. Hier steuert Google allerdings gegen: Die neuen Google Pixel-Geräte (ab Pixel 8) werden bis zu sieben Jahre lang mit (Sicherheits-)Updates für ihr System versorgt – bei Apple sind es in der Regel mindestens fünf Jahre. Darüber hinaus gibt es weitere Tipps bzw. Regeln, die es zu beachten gilt:
- Bezugsquelle [Android & iOS]: Die Bezugsquelle für Apps sollten ausschließlich vertrauenswürdige App-Stores (Google Play Store, Apple App Store, F-Droid) sein. Grundsätzlich kann jeder einen Store eröffnen und dort seine Apps anbieten/vermarkten. Dabei ist in vielen Fällen unklar, wer hinter dem Angebot steckt oder welche Prüfmethoden angewendet werden, bevor eine App im Store erscheint.
- Dubiose Quellen meiden [Android]: Installiert keine Apps/APKs über Links, die euch jemand zusendet. Gerade als Laie ist der Download von fremden Webseiten/Quellen tabu. Es gilt nach wie vor: Nur vertrauenswürdige App-Stores als Bezugsquelle für Apps nutzen.
- Genau hinschauen [Android & iOS]: Gerade im Google Play Store tummeln sich unglaublich viele Apps. Trotz der Bemühungen von Google ist auch mal die ein oder andere Schadsoftware dabei. Es empfiehlt sich daher, genau hinzuschauen und nicht jede App zu installieren. Insgesamt ist die Gefahr, sich über den App-Store von Google oder Apple Schadsoftware einzufangen, als äußerst gering einzuschätzen.
Abgesehen von der Systemsicherheit, sollte man auch beim Bezahlvorgang skeptisch sein und alle Informationen genau prüfen.
Frage [3]: Gibt es einen Sicherheitsvorteil gegenüber physischen Kredit- und Debitkarten?
Bei Verlust der Debitkarte besteht die Möglichkeit, dass ein Dieb oder unehrlicher Finder die Karte für Zahlungen per Unterschrift missbraucht, da diese auf dem Kassenbon oder einem elektronischen Unterschriftenfeld leicht gefälscht werden kann. Mit der gefälschten Unterschrift löst der Täter eine Lastschrift (Einzugsermächtigung) vom Konto des rechtmäßigen Karteninhabers aus. Bei Verlust einer Kredit- und/oder Debitkarte sollte daher nicht nur eine Sperre bei der Bank veranlasst werden, sondern auch eine Sperre für das Bezahlen mit Unterschrift. Für diese Sperrung haben die Polizei und der Handelsverband Deutschland (HDE) den Sperrdienst KUNO eingerichtet. Die Abkürzung KUNO steht für »Kriminalitätsbekämpfung im unbaren Zahlungsverkehr unter Nutzung nichtpolizeilicher Organisationsstrukturen«. Nach der Anzeige des Kartenverlustes bei der Polizei wird die Karte dem KUNO-Sperrdienst gemeldet, der wiederum die teilnehmenden Händler über die Sperrung informiert. Dort kann die Annahme der Karte zum Bezahlen mit Unterschrift dann verweigert werden.
Neben der Verwendung der Karte für nicht autorisierte Zahlungen, stellen auch die Kartendaten ein Problem dar. Je nachdem, ob es sich um eine Kredit- oder Debitkarte handelt, sind IBAN, Kreditkartennummer, Sicherheitscode, Name des Karteninhabers und Ablaufdatum aufgedruckt.
Auf dem Smartphone hingegen erleidet man keinen finanziellen Verlust (abgesehen vom Smartphone), wenn man sein Wallet verliert – vorausgesetzt, man hat das Gerät mit einer guten PIN/Passphrase/Fingerabdruck etc. gesichert und meldet sich umgehend bei seiner Bank. Ein Dieb oder unehrlicher Finder kann das Smartphone nicht ohne weiteres entsperren, um einen Bezahlvorgang auszulösen oder persönliche Daten abzugreifen.
3. Wallet-Apps
Die Welt der Wallet-Apps ist in zwei große Kuchenstücke aufgeteilt: Google Wallet und Apple Pay. So nutzen Android-Nutzer in der Regel die integrierte Google Wallet und iPhone-Nutzer können mit Apple Pay bezahlen. Beide Wallets sind fest in die Systeme integriert – mit WatchOS (Apple) und Wear OS (Google) sogar in die Smartwatches. Bevor mit dem Smartphone bezahlt werden kann, muss die Kredit- und/oder Debitkarte im Wallet hinterlegt werden. Der Vorgang ist von Bank zu Bank etwas unterschiedlich – bei der ING wird Apple Pay bspw. über die Banking to go App eingerichtet. Letztlich kann man sich die digitale Karte als Abbild einer physischen Karte vorstellen. Sobald die Karte in digitaler Form vorliegt, kann dann einfach kontaktlos per NFC (Near Field Communication) an Ladenkassen bezahlt oder in Onlineshops eingekauft werden. Der Bezahlvorgang ist denkbar einfach: Bei der Abrechnung des gekauften Artikels bittet man das Kassenpersonal um Kartenzahlung, entsperrt das Gerät und hält es wenige Zentimeter vor das Kartenterminal. Fertig.
3.1 NFC dauerhaft aktiv?
Der Gedanke, mit ständig aktivierter NFC-Technologie auf dem Smartphone herumzulaufen, mag bei manchen Bedenken auslösen. Bei physischen Karten empfiehlt es sich in der Regel, diese in spezielle RFID-Kartenschutzhüllen zu stecken, um sich vor dem Auslesen der auf der Karte gespeicherten Daten zu schützen. Denn auch physische Karten sind mit NFC ausgestattet. Allerdings kann man sein Smartphone nicht einfach in eine Hülle stecken, um die darin befindlichen Karten vor unbefugtem Auslesen zu schützen – dies ist zwar möglich, blockiert dann aber auch andere Schnittstellen wie Wi-Fi, Mobilfunk etc. Solche radikalen Schutzmaßnahmen sind bei den meisten Herstellern auch gar nicht nötig. Solange das Display ausgeschaltet ist, deaktivieren die meisten Smartphones die NFC-Schnittstelle. Wer auf Nummer sicher gehen möchte, kann sich auch einen Shortcut anlegen und die Schnittstelle manuell schalten.
3.2 Schadensfall
Wie bei Plastikkarten ist auch bei Smartphone-Wallets die Sorgfaltspflicht zu beachten und darf nicht grob fahrlässig gehandelt werden. Grob fahrlässig könnte in diesem Zusammenhang bspw. ein fehlender/zu schwacher Entsperrschutz sein. Smartphones sind in der Regel vollständig verschlüsselt und auch sensible Schnittstellen wie NFC sind geschützt – entscheidend ist hier der Entsperrschutz. Die Geräteverschlüsselung bzw. der Schnittstellenschutz ist nur so gut wie die verwendete PIN/Passphrase/Fingerabdruck etc. Ein leicht zu erratendes Muster oder eine vierstellige PIN ist für viele Angreifer/Diebe kein Hindernis. Als grob fahrlässig sind auch veraltete iOS- oder Android-Systeme und Banking-Apps anzusehen, die über einen längeren Zeitraum keine (Sicherheits-)Updates erhalten haben.
Wer aber mit virtuellen Karten genauso sorgfältig umgeht wie mit Plastikkarten, den schützt der Gesetzgeber vor allzu großen Schäden. Wie bei Plastikkarten haftet man bis zu einem Höchstbetrag von 50 €. Was darüber hinausgeht, übernimmt in der Regel die Bank.
Bei Verlust oder Diebstahl des Smartphones sollte man sofort die Bank kontaktieren und die Karte(n) sperren lassen. Hierfür gibt es eine zentrale Notrufnummer 116 116 – einige Banken haben auch gesonderte Nummern. Ist die Plastikkarte noch vorhanden, genügt es, das digitale Pendant zu sperren. Die Plastikkarte ist dann weiterhin nutzbar und es muss kein Ersatz beschafft werden.
3.3 Datenschutz
Beim Datenschutz unterscheiden sich Apple Pay und Google Wallet grundlegend voneinander – zumindest auf dem Papier. Während Apple in seiner Datenschutzerklärung und den Nutzungsbedingungen von Apple Pay angibt, keine Daten auszuwerten, räumt sich Google weitreichende Möglichkeiten ein, Daten zu sammeln bzw. auszuwerten:
Transaktionsinformationen: Bei jeder Transaktion über Google Payments können wir Informationen zur Transaktion erheben. Hierzu zählen Datum, Uhrzeit und Betrag der Transaktion, Händlerstandort und -beschreibung, eine vom Verkäufer bereitgestellte Beschreibung der gekauften Waren oder Dienste, Fotos, die Sie der Transaktion beigefügt haben, der Name und die E-Mail-Adresse des Verkäufers und Käufers bzw. des Absenders und Empfängers, die verwendete Zahlungsmethode, Ihre Beschreibung für den Grund der Transaktion sowie gegebenenfalls das mit der Transaktion verbundene Angebot.
Unter anderem weiß Google also, bei welchem Supermarkt/Händler für welchen Betrag eingekauft wurde. Aus datenschutzrechtlicher Sicht ist das völlig inakzeptabel.
Im Gegensatz zu Apple haben Android-Nutzer beim Bezahlen mit dem Smartphone also ein Defizit – zumindest wenn sie Google Wallet nutzen. Doch es gibt Alternativen, um sich vor der Datenschnüffelei von Google zu schützen. Wie das funktioniert, soll im Folgenden näher beleuchtet werden.
4. Alternative zu Google Wallet/Pay
Um zu vermeiden, dass Google jede Transaktion einsehen kann, sollte man auf Google Wallet/Pay schlichtweg verzichten. Nun stellt sich die Frage, welche Möglichkeiten es gibt, um NFC und das Smartphone zum Bezahlen an Kartenterminals zu nutzen. Die Antwort darauf lautet: Man sollte nach Banken suchen, die eigene Apps zum Bezahlen anbieten. Nachfolgend eine nicht abschließende Liste an Banken, die eigene Apps anbieten:
- Volks- und Raiffeisenbanken (Pay App)
- Sparkassen (Mobiles Bezahlen)
- PSD-Bank (Digitales Bezahlen App)
- Deutsche Bank (Deutsche Bank Mobile)
Nachfolgend werde ich am Beispiel der PSD-Bank demonstrieren, wie die Anwendung auf einem Android-Gerät ohne Google-Dienste mithilfe von GrapheneOS in der Praxis funktioniert. Es ist wichtig zu beachten, dass die Vorgehensweise auf herkömmlichen Android-Geräten identisch ist.
4.1 Voraussetzungen für das mobile Bezahlen
Um die mobilen Bezahlverfahren nutzen zu können, benötigt man Folgendes:
- ein NFC-fähiges Smartphone mit eingerichteter Gerätesperre
- ein Konto mit Online-Banking, um sich in die App einzuloggen
- ein gültiges TAN-Verfahren und
- die Digitales Bezahlen App bzw. eine mit der Bank kompatiblen App
Wir gehen davon aus, dass die ersten drei Voraussetzungen erfüllt sind und beantragen im Folgenden eine digitale Girokarte.
4.2 Einbindung einer digitalen Girokarte
Hinweis
Aus Sicherheitsgründen sind Screenshots innerhalb der App leider nicht zulässig. Es folgt daher eine Beschreibung in Textform.Zunächst wird die App Digitales Bezahlen (über den Aurora Store/Play Store) installiert und gestartet. Falls noch nicht geschehen, fordert die App zur Einrichtung eines Entsperrschutzes auf. Danach wird die App eingerichtet:
- ihr müsst ein App-Passwort vergeben
- die Bankleitzahl BLZ (PSD-Bank Karlsruhe 66090900) der Bank eingeben
- Anmeldedaten/Login-Daten der Bank eingeben
Nach der Anmeldung kann über das Plus-Zeichen eine digitale Girokarte bestellt/beantragt werden. Dazu kann im Vorgang das gerade angelegte Konto oder bei mehreren Konten ein anderes Konto ausgewählt werden. Wahlweise kann dann die vorhandene Girokarten-PIN übernommen oder eine neue Karten-PIN beantragt werden. Diese PIN wird dann benötigt, wenn die Bestätigung der Zahlung durch Entsperren des Smartphones nicht ausreicht.
In der Bestellübersicht werden dann die Vertragsunterlagen zum Lesen bereitgestellt. Mit einem Häkchen bei Ich akzeptiere die Bedingungen gelesen und akzeptiert wird der Vorgang abgeschlossen. Auf einem normalen Android-Gerät mit Google Play Services funktioniert dies problemlos – nicht jedoch bei googlefreien Geräten. Aus mir unbekannten Gründen möchte die App Digitales Bezahlen eine Verbindung zu »firebaseinstallations.googleapis.com« herstellen. Möglicherweise, um eine Sicherheitsüberprüfung durchzuführen, oder einfach, weil die App-Entwickler etwas einbauen, was für den Prozess notwendig ist. Bei der Analyse des Datensendeverhaltens ist mir nichts Negatives aufgefallen. Für Nutzer von GrapheneOS bedeutet dies jedenfalls, dass die Installation der Sandboxed Play Services erforderlich ist – allerdings nur temporär. Nach der Beantragung der digitalen Girokarte können diese wieder entfernt werden. Dieser Schritt kann auch bei anderen googlefreien Custom-ROMs (CalyxOS, LineageOS etc.) notwendig sein. Bedeutet: Für die Beantragung der digitalen Girokarte kann auch hier die Aktivierung von microG oder einer anderen Google Play Services Alternative – zumindest temporär – erforderlich sein.
Nun heißt es warten, bis die Bank die digitale Girokarte freigeschaltet hat. Per Post wird man dann über die Freischaltung informiert und muss je nach Bank noch weitere Schritte unternehmen. Diese werden im Schreiben der Bank näher erläutert.
4.3 Nutzung in der Praxis
Nachdem die digitale Girokarte in der App Digitales Bezahlen hinterlegt bzw. integriert wurde, steht dem praktischen Einsatz nichts mehr im Wege. Prüft zunächst, ob NFC aktiviert ist. Beim nächsten Einkauf bittet man das Kassenpersonal um Kartenzahlung, entsperrt das Gerät und hält es wenige Zentimeter vor das Kartenterminal. Je nach Bank und/oder Betrag verlangt das Smartphone eine PIN, eine Bestätigung per Fingerabdruck oder einen anderen Autorisierungsmechanismus. Ist dies geschehen, hat man mit dem Smartphone bezahlt. Unter dem Menüpunkt Letzte Transaktionen werden die über die App ausgelösten Belege/Kontobewegungen angezeigt:
Für die Nutzung der App Digitales Bezahlen ist übrigens keine aktive Internetverbindung erforderlich. Das Smartphone kann sich für den Vorgang im Flugmodus befinden – vorausgesetzt, das Gerät unterstützt und aktiviert NFC (Near Field Communication). So kann auch in Bereichen mit schlechtem Mobilfunkempfang oder ohne Wi-Fi-Abdeckung mit dem Smartphone bezahlt werden.
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
4.4 Root-Problematik
Die meisten Banking-Apps prüfen bereits beim Start, ob das Android-System gerootet ist und verweigern dann den Dienst. Banken stufen gerootete Android-Geräte generell als Sicherheitsrisiko ein, da der Nutzer wie bei einem Desktop-System die Möglichkeit hat, tief in das System einzugreifen. Die Sicherheitsarchitektur (Sandbox-Modell) von Android kann durch den Root-Zugriff und schädliche Apps oder Erweiterungen umgangen werden, was sich letztlich negativ auf alle Apps oder Daten auf dem Gerät auswirken kann. Vor diesem Hintergrund ist es nachvollziehbar, dass Banking-Apps den Dienst auf gerooteten Geräten verweigern.
Dies ist jedoch nicht konsequent, denn auch wenn das Sandbox-Modell die Banking-App gut vor einer Kompromittierung schützt, wird die Sicherheit von weiteren Faktoren beeinflusst. Ein entscheidender Faktor sind (kritische) Sicherheitslücken in Android, die es einem Angreifer ermöglichen, die Kontrolle über das Gerät zu erlangen, den Nutzer auszuspionieren und unbemerkt Daten abfließen zu lassen. In regelmäßigen Abständen werden schwerwiegende Sicherheitslücken in Android identifiziert. Diese können sich ebenso wie der Root-Zugriff negativ auf das Online-Banking oder die auf dem Gerät befindlichen Daten auswirken. Insofern wäre es konsequent und richtig, auch den Stand der (System-)Sicherheitsupdates zu berücksichtigen. So könnte z.B. bei veralteten Android-Versionen sichergestellt werden, dass ein Bezahlvorgang per NFC nicht durchgeführt werden kann.
5. Fazit
Digitales Bezahlen mit dem Smartphone ist datenschutzfreundlich möglich – wenn die Bank eigene Apps anbietet. Genau diese Einschränkung dürfte für viele ein Knackpunkt sein. Bevor man jedoch den Kontowechselservice in Anspruch nimmt, sollte man sich vorab informieren, ob die eigene Bank neben Google Wallet eine eigene Lösung anbietet. Wie bereits erwähnt, erhebt die Liste der in diesem Artikel genannten Banken keinen Anspruch auf Vollständigkeit.
Eines sollte jedoch nicht vergessen werden: Wer ein Google-Smartphone mit Google Play Services nutzt, sollte sich bewusst sein, dass Google permanent Daten (Telefonnummer, ungefähre Position, installierte Apps etc.) übermittelt. Auch wenn man Google Wallet nicht nutzt, erhält Google also gewisse Einblicke. Aufgrund der (ungefähren) Standortbestimmung kann Google bspw. feststellen, wo sich jemand gerade aufhält. Verknüpft Google diese Information dann noch mit der aufgerufenen Bezahl-App der Bank, weiß Google, wo man eingekauft hat. Immerhin bleiben sowohl der Warenkorb als auch der Betrag für Google verborgen.
Lediglich googlefreie Geräte können unbeobachtet von Google mit den Apps ihrer Bank einkaufen. Ob mit Girokarte oder Smartphone bezahlt wird, macht aus Sicht der Bank dann keinen Unterschied. Wirklich anonym ist allerdings nur das Bargeld.
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Android & iOS: Sicheres Mobile-Banking am Smartphone
Wie Banken Online-Banking durch Apps unsicher machen
Online-Banking: Aber sicher – Das chipTAN-Verfahren
Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
Ich freue mich auf Deine Beteiligung zum Artikel
Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.